docker sbom方便的软件物料清单扩展

日益严重的软件安全问题，docker 和anchore 联合开发了一个docker 扩展 sbom （软件物料清单）
内部是基于了开源项目syft，使用简单

参考安装

 

curl -sSfL https://raw.githubusercontent.com/docker/sbom-cli-plugin/main/install.sh | sh -s --

 

 

使用

默认是table 格式输出，但是也支持其他格式的，比如json（方便分析以及存储使用）

docker sbom nginx

效果

 

 

 

说明

sbom 是一个很不错的扩展，可以提升我们docker 镜像的透明以及软件的安全，很值得使用

参考资料

https://github.com/docker/sbom-cli-plugin
https://github.com/anchore/syft
https://anchore.com/sbom/docker-sbom-command-creates-sbom-using-syft/
https://www.docker.com/blog/announcing-docker-sbom-a-step-towards-more-visibility-into-docker-images/